Datengrenze für die International Traffic in Arms Regulations (ITAR)

Auf dieser Seite werden die Kontrollmechanismen beschrieben, die auf ITAR-Arbeitslasten in Assured Workloads angewendet werden. Es enthält detaillierte Informationen zu Datenspeicherort, unterstützten Google Cloud Produkten und ihren API-Endpunkten sowie zu allen anwendbaren Einschränkungen für diese Produkte. Für ITAR gelten die folgenden zusätzlichen Informationen:

• Datenstandort: Das ITAR-Kontrollpaket legt die Steuerelemente für den Datenstandort so fest, dass nur Regionen in den USA unterstützt werden. Weitere Informationen finden Sie im Abschnitt Google Cloud-weite Einschränkungen für Organisationsrichtlinien.
• Support: Technische Supportdienste für ITAR-Arbeitslasten sind mit Abos für erweiterten oder Premium-Cloud Customer Care verfügbar. Supportfälle für ITAR-Arbeitslasten werden an US-Personen in den USA weitergeleitet. Weitere Informationen finden Sie unter Support.
• Preise: Das ITAR-Kontrollpaket ist in der Premium-Stufe von Assured Workloads enthalten, für die ein zusätzlicher Aufschlag von 20% anfällt. Weitere Informationen finden Sie unter Preise für Assured Workloads.

Vorbereitung

Damit Sie als Nutzer des ITAR-Kontrollpakets die Compliance aufrechterhalten, müssen Sie die folgenden Voraussetzungen erfüllen und einhalten:

• Erstellen Sie einen ITAR-Ordner mit Assured Workloads und stellen Sie Ihre ITAR-Arbeitslasten nur in diesem Ordner bereit.
• Aktivieren und verwenden Sie nur ITAR-konforme Dienste für ITAR-Arbeitslasten.
• Ändern Sie die Standardwerte für die Einschränkung der Organisationsrichtlinie nur, wenn Sie die damit verbundenen Risiken für den Datenspeicherort verstehen und bereit sind, diese zu akzeptieren.
• Wenn Sie auf die Google Cloud Console für ITAR-Arbeitslasten zugreifen, müssen Sie eine der folgenden Jurisdictional Google Cloud Console-URLs verwenden:
  • console.us.cloud.google.com
  • console.us.cloud.google für Nutzer mit föderierten Identitäten
• Wenn Sie eine Verbindung zu Google Cloud Dienstendpunkten herstellen, müssen Sie regionale Endpunkte für Dienste verwenden, die sie anbieten. Außerdem gilt:
  • Wenn Sie von Nicht-Google Cloud-VMs, z. B. lokalen VMs oder VMs anderer Cloud-Anbieter, eine Verbindung zu Google Cloud -Dienstendpunkten herstellen, müssen Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden, die Verbindungen zu Nicht-Google Cloud -VMs unterstützen, um den Nicht-Google Cloud -Traffic an Google Cloudweiterzuleiten.
  • Wenn Sie von Google Cloud VMs aus eine Verbindung zu Google Cloud Dienstendpunkten herstellen, können Sie eine der verfügbaren Optionen für den privaten Zugriff verwenden.
  • Wenn Sie eine Verbindung zu Google Cloud VMs herstellen, die mit externen IP-Adressen bereitgestellt wurden, lesen Sie den Abschnitt Auf APIs über VMs mit externen IP-Adressen zugreifen.
• Speichern Sie für alle Dienste, die in einem ITAR-Ordner verwendet werden, keine technischen Daten in den folgenden benutzerdefinierten oder sicherheitsbezogenen Konfigurationsinformationstypen:
  • Fehlermeldungen
  • Console-Ausgabe
  • Attributdaten
  • Daten zur Dienstkonfiguration
  • Header von Netzwerkpaketen
  • Ressourcen-IDs
  • Datenlabels
• Verwenden Sie nur die angegebenen regionalen Endpunkte für Dienste, die sie anbieten. Weitere Informationen finden Sie unter ITAR-konforme Dienste.
• Wir empfehlen Ihnen, die allgemeinen Best Practices für die Sicherheit zu übernehmen, die im Google Cloud Center für Sicherheits-Best-Practices beschrieben werden.

Unterstützte Produkte und API-Endpunkte

Sofern nicht anders angegeben, können Nutzer über die Google Cloud Konsole auf alle unterstützten Produkte zugreifen. Einschränkungen, die sich auf die Funktionen eines unterstützten Produkts auswirken, einschließlich derer, die durch Einschränkungseinstellungen für Organisationsrichtlinien erzwungen werden, sind in der folgenden Tabelle aufgeführt.

Wenn ein Produkt nicht aufgeführt ist, wird es nicht unterstützt und hat die Kontrollanforderungen für ITAR nicht erfüllt. Die Verwendung nicht unterstützter Produkte wird nicht empfohlen, ohne dass Sie Ihre Verantwortlichkeiten im Modell der geteilten Verantwortung sorgfältig geprüft und verstanden haben. Bevor Sie ein nicht unterstütztes Produkt verwenden, sollten Sie sich über alle damit verbundenen Risiken im Klaren sein und diese akzeptieren, z. B. negative Auswirkungen auf den Speicherort oder die Souveränität von Daten.

Limits und Einschränkungen

In den folgenden Abschnitten werden Google Cloud-weite oder produktspezifische Einschränkungen oder Einschränkungen für Funktionen beschrieben, einschließlich aller Einschränkungen von Organisationsrichtlinien, die standardmäßig für ITAR-Ordner festgelegt sind. Andere anwendbare Einschränkungen für Organisationsrichtlinien, auch wenn sie nicht standardmäßig festgelegt sind, können eine zusätzliche gestaffelte Sicherheitsebene bieten, um die Google Cloud Ressourcen Ihrer Organisation weiter zu schützen.

Google Cloud – breit

Betroffene Google Cloud-weite Funktionen

Funktion	Beschreibung
Google Cloud console	Wenn Sie das ITAR-Kontrollpaket verwenden, müssen Sie eine der folgenden URLs verwenden, um auf die Google Cloud -Konsole zuzugreifen: console.us.cloud.google.com console.us.cloud.google für Nutzer mit föderierten Identitäten Weitere Informationen finden Sie auf der Seite Jurisdictional Google Cloud console.

Google Cloud-weite Einschränkungen für Organisationsrichtlinien

Die folgenden Einschränkungen für Organisationsrichtlinien gelten für Google Cloud.

Einschränkung der Organisationsrichtlinie	Beschreibung
gcp.resourceLocations	Legen Sie die folgenden Standorte in der Liste allowedValues fest: us us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Dieser Wert beschränkt das Erstellen neuer Ressourcen auf die ausgewählten Werte. Wenn diese Option festgelegt ist, können keine Ressourcen in anderen Regionen, in mehreren Regionen oder an Standorten außerhalb der Auswahl erstellt werden. Eine Liste der Ressourcen, die durch die Organisationsrichtlinie „Ressourcenstandorte“ eingeschränkt werden können, finden Sie unter Von Ressourcenstandorten unterstützte Dienste. Einige Ressourcen sind möglicherweise nicht eingeschränkt. Wenn Sie diesen Wert ändern, indem Sie ihn weniger einschränken, untergraben Sie möglicherweise den Datenstandort, indem Sie das Erstellen oder Speichern von Daten außerhalb einer konformen Datengrenze zulassen.
gcp.restrictCmekCryptoKeyProjects	Auf under:organizations/your-organization-name festgelegt, Ihre Assured Workloads-Organisation. Sie können diesen Wert weiter einschränken, indem Sie ein Projekt oder einen Ordner angeben. Beschränkt den Bereich genehmigter Ordner oder Projekte, die Cloud KMS-Schlüssel für die Verschlüsselung von Daten im Ruhezustand mithilfe von CMEK bereitstellen können. Diese Einschränkung verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen. Dadurch sorgt die Datenhoheit für inaktive Daten innerhalb des Geltungsbereichs.
gcp.restrictNonCmekServices	Legen Sie eine Liste aller API-Dienstnamen innerhalb des Geltungsbereichs fest, einschließlich: bigquery.googleapis.com compute.googleapis.com container.googleapis.com storage.googleapis.com Einige Funktionen können für jeden der oben aufgeführten Dienste betroffen sein. Für jeden aufgeführten Dienst sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) erforderlich. Mit CMEK können inaktive Daten mit einem von Ihnen verwalteten Schlüssel verschlüsselt werden, nicht mit den Standardverschlüsselungsmechanismen von Google. Wenn Sie diesen Wert ändern, indem Sie einen oder mehrere Dienste innerhalb des Geltungsbereichs aus der Liste entfernen, kann dies die Datenhoheit untergraben, da neue Daten im Ruhezustand automatisch mit den eigenen Schlüsseln von Google anstelle Ihrer Schlüssel verschlüsselt werden. Vorhandene inaktive Daten werden mit dem von Ihnen angegebenen Schlüssel verschlüsselt.
gcp.restrictServiceUsage	Auf „Alle unterstützten Produkte und API-Endpunkte zulassen“ festlegen. Legt fest, welche Dienste verwendet werden können, indem der Laufzeitzugriff auf ihre Ressourcen eingeschränkt wird. Weitere Informationen finden Sie unter Ressourcennutzung einschränken.
gcp.restrictTLSVersion	Auf „Verweigern“ setzen für die folgenden TLS-Versionen: TLS_1_0 TLS_1_1 Weitere Informationen finden Sie auf der Seite TLS-Versionen einschränken.

Google Cloud Armor

Betroffene Google Cloud Armor-Funktionen

Funktion	Beschreibung
Global gültige Sicherheitsrichtlinien	Diese Funktion wurde durch die Einschränkung der compute.disableGlobalCloudArmorPolicy-Organisationsrichtlinie deaktiviert.

BigQuery

Betroffene BigQuery-Funktionen

Funktion	Beschreibung
BigQuery für einen neuen Ordner aktivieren	BigQuery wird unterstützt, ist aber nicht automatisch aktiviert, wenn Sie einen neuen Assured Workloads-Ordner erstellen. Das liegt an einem internen Konfigurationsprozess. Dieser Vorgang dauert normalerweise zehn Minuten, kann unter Umständen aber auch viel länger dauern. So prüfen Sie, ob der Vorgang abgeschlossen ist, und aktivieren BigQuery: Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf. Zu Assured Workloads Wählen Sie den neuen Assured Workloads-Ordner aus der Liste aus. Klicken Sie auf der Seite Ordnerdetails im Bereich Zulässige Dienste auf Verfügbare Updates prüfen. Sehen Sie sich im Bereich Zugelassene Dienste die Dienste an, die der Organisationsrichtlinie Einschränkung der Ressourcennutzung für den Ordner hinzugefügt werden sollen. Wenn BigQuery-Dienste aufgeführt sind, klicken Sie auf Allow Services (Dienste zulassen), um sie hinzuzufügen. Wenn BigQuery-Dienste nicht aufgeführt sind, warten Sie, bis der interne Prozess abgeschlossen ist. Wenn die Dienste nicht innerhalb von 12 Stunden nach der Ordnererstellung aufgeführt werden, wenden Sie sich an den Cloud Customer Care. Nachdem der Aktivierungsprozess abgeschlossen ist, können Sie BigQuery in Ihrem Assured Workloads-Ordner verwenden. Gemini in BigQuery wird von Assured Workloads nicht unterstützt.
Konforme BigQuery-APIs	Die folgenden BigQuery APIs sind ITAR-konform: bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com
Regionen	BigQuery entspricht ITAR für alle BigQuery-Regionen in den USA mit Ausnahme der multiregionalen Region „US“. Die ITAR-Compliance kann nicht garantiert werden, wenn ein Dataset in einer US-Multiregion, einer Nicht-US-Region oder einer Nicht-US-Multiregion erstellt wird. Es liegt in Ihrer Verantwortung, beim Erstellen von BigQuery-Datasets eine ITAR-konforme Region anzugeben.
Abfragen von ITAR-Datasets aus Nicht-ITAR-Projekten	BigQuery verhindert nicht, dass ITAR-Datasets aus Nicht-ITAR-Projekten abgefragt werden. Alle Abfragen, die einen Lese- oder Join-Vorgang für technische ITAR-Daten verwenden, müssen in einem ITAR-konformen Ordner platziert werden.
Verbindungen zu externen Datenquellen herstellen	Die Compliance-Verantwortung von Google beschränkt sich auf die BigQuery Connection API. Es liegt in Ihrer Verantwortung, die Einhaltung der Richtlinien für die Quellprodukte sicherzustellen, die mit der BigQuery Connection API verwendet werden.
Nicht unterstützte Funktionen	Die folgenden BigQuery-Funktionen werden nicht unterstützt und sollten nicht in der BigQuery-Befehlszeile verwendet werden. Es liegt in Ihrer Verantwortung, sie nicht in BigQuery für Assured Workloads zu verwenden. Interaktion mit Remote-Datenquellen Extern trainierte BQML-Modelle werden nicht unterstützt. Intern trainierte BQML-Modelle werden unterstützt. Dynamische Datenmaskierung GDrive-Export Remote-Funktionen Gespeicherte Abfragen Workflow-Planung Für BigQuery Studio werden Notebooks nicht unterstützt. Gemini in BigQuery wird nicht unterstützt.
BigQuery-Befehlszeile	Die BigQuery-Befehlszeile wird unterstützt.
Google Cloud SDK	Sie müssen mindestens die Google Cloud SDK-Version 403.0.0 verwenden, um die Regionalisierungsgarantien für technische Daten aufrechtzuerhalten. Führen Sie gcloud --version aus, um Ihre aktuelle Google Cloud SDK-Version zu prüfen, und dann gcloud components update, um auf die neueste Version zu aktualisieren.
Steuerelemente für Administratoren	In BigQuery werden nicht unterstützte APIs deaktiviert. Administratoren mit ausreichenden Berechtigungen zum Erstellen eines Assured Workloads-Ordners können jedoch eine nicht unterstützte API aktivieren. In diesem Fall werden Sie über das Assured Workloads-Monitoring-Dashboard über potenzielle Compliance-Verstöße benachrichtigt.
Daten laden	BigQuery Data Transfer Service-Connectors für Google-SaaS-Anwendungen (Software as a Service (SaaS)), externe Cloud-Speicheranbieter und Data Warehouses werden nicht unterstützt. Es liegt in Ihrer Verantwortung, BigQuery Data Transfer Service-Connectors nicht für ITAR-Arbeitslasten zu verwenden.
Drittanbieter-Übertragungen	BigQuery überprüft nicht, ob Drittanbieterübertragungen für den BigQuery Data Transfer Service unterstützt werden. Es liegt in Ihrer Verantwortung, den Support zu prüfen, wenn Sie einen Drittanbieter-Transfer für den BigQuery Data Transfer Service verwenden.
Nicht konforme BQML-Modelle	Extern trainierte BQML-Modelle werden nicht unterstützt.
Abfragejobs	Abfragejobs sollten nur in Assured Workloads-Ordnern erstellt werden.
Abfragen für Datasets in anderen Projekten	BigQuery verhindert nicht, dass Assured Workloads-Datasets aus Projekten abgefragt werden, die nicht zu Assured Workloads gehören. Alle Abfragen, die Daten aus Assured Workloads lesen oder mit ihnen verknüpfen, sollten in einem Assured Workloads-Ordner platziert werden. Sie können mit projectname.dataset.table in der BigQuery-Befehlszeile einen voll qualifizierten Tabellennamen für das Abfrageergebnis angeben.
Cloud Logging	BigQuery verwendet Cloud Logging für einige Ihrer Logdaten. Sie sollten die Protokollierungs-Buckets für _default deaktivieren oder _default-Buckets auf Regionen beschränken, die den Anforderungen entsprechen. Verwenden Sie dazu den folgenden Befehl: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Weitere Informationen finden Sie unter Logs regionalisieren.

Compute Engine

Betroffene Compute Engine-Funktionen

Funktion	Beschreibung
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann derzeit nicht mit CMEK verschlüsselt werden. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie derzeit nicht mit CMEK verschlüsselt werden kann. Weitere Informationen zu den Auswirkungen der Aktivierung dieser Funktion auf Datensouveränität und Datenspeicherort finden Sie oben im Abschnitt zur Einschränkung der Organisationsrichtlinie gcp.restrictNonCmekServices.
Google Cloud console	Die folgenden Compute Engine-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI: Systemdiagnosen Netzwerk-Endpunktgruppen
Bare-Metal-Lösung-VMs	Sie können keine Bare-Metal-Lösung-VMs (o2-VMs) verwenden, da diese nicht ITAR-konform sind.
Google Cloud VMware Engine-VMs	Google Cloud VMware Engine-VMs können nicht verwendet werden, da sie nicht ITAR-konform sind.
C3-VM-Instanz erstellen	Diese Funktion ist deaktiviert.
Nichtflüchtige Speicher oder deren Snapshots ohne CMEK verwenden	Sie können nichtflüchtige Speicher oder deren Snapshots nur verwenden, wenn sie mit CMEK verschlüsselt wurden.
Verschachtelte VMs oder VMs, die verschachtelte Virtualisierung verwenden, erstellen	Sie können keine verschachtelten VMs oder VMs mit verschachtelter Virtualisierung erstellen. Diese Funktion ist aufgrund der Einschränkung der compute.disableNestedVirtualization-Organisationsrichtlinie deaktiviert.
Instanzgruppe einem globalen Load-Balancer hinzufügen	Sie können einem globalen Load-Balancer keine Instanzgruppe hinzufügen. Diese Funktion ist aufgrund der Einschränkung der compute.disableGlobalLoadBalancing-Organisationsrichtlinie deaktiviert.
Anfragen an einen multiregionalen externen HTTPS-Load-Balancer weiterleiten	Sie können Anfragen nicht an einen multiregionalen externen HTTPS-Load-Balancer weiterleiten. Diese Funktion ist aufgrund der Einschränkung der compute.restrictLoadBalancerCreationForTypes-Organisationsrichtlinie deaktiviert.
Nichtflüchtigen SSD-Speicher im Modus für mehrere Autoren freigeben	Sie können einen nichtflüchtiger SSD-Speicher im Modus für mehrere Autoren nicht für VM-Instanzen freigeben.
VM-Instanz anhalten bzw. fortsetzen	Die Funktion ist deaktiviert. Das Anhalten und Fortsetzen einer VM-Instanz erfordert nichtflüchtigen Speicher. Der nichtflüchtige Speicher, der zum Speichern des Status der angehaltenen VM verwendet wird, kann nicht mit CMEK verschlüsselt werden. Diese Funktion ist durch die Einschränkung der gcp.restrictNonCmekServices-Organisationsrichtlinie deaktiviert.
Lokale SSDs	Die Funktion ist deaktiviert. Sie können keine Instanz mit lokalen SSDs erstellen, da sie nicht mit CMEK verschlüsselt werden können. Diese Funktion ist durch die Einschränkung der gcp.restrictNonCmekServices-Organisationsrichtlinie deaktiviert.
Gastumgebung	Skripts, Daemons und Binärdateien, die in der Gastumgebung enthalten sind, können auf unverschlüsselte Daten sowie inaktive Daten zugreifen. Abhängig von Ihrer VM-Konfiguration können Aktualisierungen dieser Software standardmäßig installiert werden. Ausführliche Informationen zum Inhalt, zum Quellcode und zu den einzelnen Paketen finden Sie unter Gastumgebung. Diese Komponenten tragen dazu bei, dass Sie die Datenhoheit durch interne Sicherheitskontrollen und ‑prozesse erfüllen. Wenn Sie jedoch zusätzliche Kontrolle wünschen, können Sie auch eigene Images oder Agents auswählen und optional die Organisationsrichtlinieneinschränkung compute.trustedImageProjects verwenden. Weitere Informationen finden Sie auf der Seite Benutzerdefiniertes Image erstellen.
Betriebssystemrichtlinien in VM Manager	Inline-Skripts und binäre Ausgabedateien in den OS-Richtliniendateien werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Daher sollten Sie in diesen Dateien keine vertraulichen Informationen angeben. Alternativ können Sie diese Skripts und Ausgabedateien in Cloud Storage-Buckets speichern. Weitere Informationen finden Sie unter Beispiel für Betriebssystemrichtlinien. Wenn Sie das Erstellen oder Ändern von OS Policy-Ressourcen einschränken möchten, die Inline-Scripts oder Binärausgabedateien verwenden, aktivieren Sie die constraints/osconfig.restrictInlineScriptAndOutputFileUsage-Organisationsrichtlinieneinschränkung. Weitere Informationen finden Sie unter Einschränkungen für OS Config.
instances.getSerialPortOutput()	Diese API ist deaktiviert. Mit der API können Sie keine Ausgabe vom seriellen Port der angegebenen Instanz abrufen. Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.
instances.getScreenshot()	Diese API ist deaktiviert. Mit der API können Sie keinen Screenshot von der angegebenen Instanz erhalten. Ändern Sie den Wert der Einschränkung für die Organisationsrichtlinie compute.disableInstanceDataAccessApis in False, um diese API zu aktivieren. Sie können den interaktiven seriellen Port auch aktivieren und verwenden. Folgen Sie dazu der Anleitung unter Zugriff für ein Projekt aktivieren.

Einschränkungen für Compute Engine-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
compute.enableComplianceMemoryProtection	Auf True festlegen. Deaktiviert einige interne Diagnosefunktionen, um bei einem Infrastrukturfehler zusätzlichen Speicherinhalt zu bieten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
compute.disableGlobalCloudArmorPolicy	Auf True festlegen. Deaktiviert das Erstellen neuer globaler Google Cloud Armor-Sicherheitsrichtlinien sowie das Hinzufügen oder Ändern von Regeln für vorhandene globale Google Cloud Armor-Sicherheitsrichtlinien. Das Entfernen von Regeln oder das Entfernen oder Ändern der Beschreibung und Auflistung globaler Google Cloud Armor-Sicherheitsrichtlinien wird durch diese Beschränkung nicht eingeschränkt. Regionale Google Cloud Armor-Sicherheitsrichtlinien sind von dieser Einschränkung nicht betroffen. Alle globalen und regionalen Sicherheitsrichtlinien, die vor der Erzwingung dieser Beschränkung vorhanden waren, bleiben in Kraft.
compute.disableGlobalLoadBalancing	Auf True festlegen. Deaktiviert das Erstellen von globalen Load-Balancing-Produkten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
compute.disableGlobalSelfManagedSslCertificate	Auf True festlegen. Deaktiviert das Erstellen globaler selbstverwalteter SSL-Zertifikate. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.
compute.disableInstanceDataAccessApis	Auf True festlegen. Deaktiviert global die APIs instances.getSerialPortOutput() und instances.getScreenshot(). Wenn Sie diese Einschränkung aktivieren, können Sie keine Anmeldedaten auf Windows Server-VMs generieren. Wenn Sie einen Nutzernamen und ein Passwort auf einer Windows-VM verwalten müssen, gehen Sie so vor: SSH für Windows-VMs aktivieren Führen Sie den folgenden Befehl aus, um das Passwort der VM zu ändern: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Ersetzen Sie Folgendes: VM_NAME: Der Name der VM, für die Sie das Passwort festlegen. USERNAME: Der Nutzername des Nutzers, für den Sie das Passwort festlegen. PASSWORD: Das neue Passwort.
compute.disableNonFIPSMachineTypes	Auf True festlegen. Verhindert das Erstellen von VM-Instanztypen, die nicht den FIPS-Anforderungen entsprechen.
compute.restrictNonConfidentialComputing	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten. Weitere Informationen finden Sie in der Confidential VM-Dokumentation.
compute.trustedImageProjects	(Optional) Wert ist nicht festgelegt. Legen Sie diesen Wert fest, um zusätzliche Sicherheit zu bieten. Durch Festlegen dieses Werts wird die Image-Speicherung und Instanziierung von Laufwerken auf die angegebene Liste von Projekten beschränkt. Dieser Wert wirkt sich auf die Datenhoheit aus, da nicht autorisierte Images oder Agents nicht verwendet werden.

Cloud DNS

Betroffene Cloud DNS-Funktionen

Funktion	Beschreibung
Google Cloud console	Cloud DNS-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Google Kubernetes Engine

Betroffene Google Kubernetes Engine-Funktionen

Funktion	Beschreibung
Einschränkungen für Clusterressourcen	Achten Sie darauf, dass in Ihrer Clusterkonfiguration keine Ressourcen für Dienste verwendet werden, die im ITAR-Compliance-Programm nicht unterstützt werden. Die folgende Konfiguration ist beispielsweise ungültig, da sie die Aktivierung oder Verwendung eines nicht unterstützten Dienstes erfordert: set `binaryAuthorization.evaluationMode` to `enabled`

Einschränkungen für Organisationsrichtlinien von Google Kubernetes Engine

Einschränkung der Organisationsrichtlinie	Beschreibung
container.restrictNoncompliantDiagnosticDataAccess	Auf True festlegen. Deaktiviert die aggregierte Analyse von Kernel-Problemen. Dies ist erforderlich, um die unabhängige Kontrolle einer Arbeitslast zu gewährleisten. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.

Cloud Interconnect

Betroffene Cloud Interconnect-Funktionen

Funktion	Beschreibung
Google Cloud console	Cloud Interconnect-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Hochverfügbarkeits-VPN	Sie müssen die HA VPN-Funktion aktivieren, wenn Sie Cloud Interconnect mit Cloud VPN verwenden. Außerdem müssen Sie die im Abschnitt Betroffene Cloud VPN-Funktionen aufgeführten Anforderungen an Verschlüsselung und Regionalisierung einhalten.

Cloud Load Balancing

Betroffene Cloud Load Balancing-Funktionen

Funktion	Beschreibung
Google Cloud console	Cloud Load Balancing-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Regionale Load Balancer	Sie dürfen nur regionale Load Balancer mit ITAR verwenden. Weitere Informationen zum Konfigurieren regionaler Load-Balancer finden Sie auf den folgenden Seiten: Interner Application Load Balancer Regionaler externer Application Load Balancer Interner Passthrough-Network Load Balancer Externer Passthrough Network Load Balancer

Cloud Logging

Betroffene Cloud Logging-Funktionen

Funktion	Beschreibung
Logsenken	Filter dürfen keine Kundendaten enthalten. Logsenken enthalten Filter, die als Konfiguration gespeichert sind. Erstellen Sie keine Filter, die Kundendaten enthalten.
Live-Tailing-Logeinträge	Filter dürfen keine Kundendaten enthalten. Eine Live-Verfolgungs-Sitzung enthält einen Filter, der als Konfiguration gespeichert wird. In Tailing-Logs werden keine Logeintragsdaten gespeichert, sie können jedoch Daten zwischen Regionen abfragen und übertragen. Erstellen Sie keine Filter, die Kundendaten enthalten.
Logbasierte Benachrichtigungen	Die Funktion ist deaktiviert. Logbasierte Benachrichtigungen können nicht in der Google Cloud Console erstellt werden.
Gekürzte URLs für Log-Explorer-Abfragen	Die Funktion ist deaktiviert. In der Google Cloud Console können Sie keine verkürzten URLs von Abfragen erstellen.
Abfragen im Log-Explorer speichern	Die Funktion ist deaktiviert. In der Google Cloud -Konsole können Sie keine Abfragen speichern.
Loganalysen mit BigQuery	Die Funktion ist deaktiviert. Das Feature „Loganalyse“ kann nicht verwendet werden.
SQL-basierte Benachrichtigungsrichtlinien	Die Funktion ist deaktiviert. Sie können das Feature für SQL-basierte Benachrichtigungsrichtlinien nicht verwenden.

Cloud Monitoring

Betroffene Cloud Monitoring-Funktionen

Funktion	Beschreibung
Synthetischer Monitor	Die Funktion ist deaktiviert.
Verfügbarkeitsdiagnosen	Die Funktion ist deaktiviert.
Log-Bereich-Widgets in Dashboards	Die Funktion ist deaktiviert. Sie können einem Dashboard kein Log-Feld hinzufügen.
Widgets für den Bereich „Error Reporting“ in Dashboards	Die Funktion ist deaktiviert. Ein Dashboard kann kein Fehlerberichtsfeld enthalten.
Filtern in EventAnnotation für Dashboards	Die Funktion ist deaktiviert. Der Filter für EventAnnotation kann nicht in einem Dashboard festgelegt werden.
SqlCondition in alertPolicies	Die Funktion ist deaktiviert. Sie können kein SqlCondition zu einem alertPolicy hinzufügen.

Cloud NAT

Betroffene Cloud NAT-Funktionen

Funktion	Beschreibung
Google Cloud console	Cloud NAT-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Network Connectivity Center

Betroffene Network Connectivity Center-Funktionen

Funktion	Beschreibung
Google Cloud console	Network Connectivity Center-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Pub/Sub

Einschränkungen für Pub/Sub-Organisationsrichtlinien

Einschränkung der Organisationsrichtlinie	Beschreibung
pubsub.enforceInTransitRegions	Auf True festlegen. Sorgt dafür, dass Kundendaten nur innerhalb der Regionen übertragen werden, die in der Nachrichtenspeicherrichtlinie für das Pub/Sub-Thema als zulässig festgelegt sind. Die Änderung dieses Werts kann sich auf den Datenstandort oder die Datenhoheit Ihrer Arbeitslast auswirken.

Cloud Router

Betroffene Cloud Router-Funktionen

Funktion	Beschreibung
Google Cloud console	Cloud Router-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud Run

Betroffene Cloud Run-Funktionen

Funktion	Beschreibung
Nicht unterstützte Funktionen	Die folgenden Cloud Run-Funktionen werden nicht unterstützt: Cloud Trace-Integration Cloud Run Functions Eventarc-Trigger

Cloud SQL

Betroffene Cloud SQL-Features

Funktion	Beschreibung
Export in CSV wird ausgeführt...	Der Export in CSV-Dateien ist nicht ITAR-konform und sollte nicht verwendet werden. Diese Funktion ist in der Google Cloud Konsole deaktiviert.
executeSql	Die Methode executeSql der Cloud SQL API entspricht nicht den ITAR-Bestimmungen und sollte nicht verwendet werden.

Cloud Storage

Betroffene Cloud Storage-Funktionen

Funktion	Beschreibung
Google Cloud console	Um die ITAR-Compliance aufrechtzuerhalten, sind Sie dafür verantwortlich, die Google Cloud -Konsole zu verwenden. In der Gerichtsbarkeitskonsole können keine Cloud Storage-Objekte hoch- oder heruntergeladen werden. Informationen zum Hoch- und Herunterladen von Cloud Storage-Objekten finden Sie in diesem Abschnitt in der Zeile Konforme API-Endpunkte.
Konforme API-Endpunkte	Sie müssen einen der ITAR-konformen regionalen Endpunkte mit Cloud Storage verwenden. Weitere Informationen finden Sie unter Regionale Cloud Storage-Endpunkte und Cloud Storage-Standorte.
Beschränkungen	Sie müssen regionale Cloud Storage-Endpunkte verwenden, um ITAR-konform zu sein. Weitere Informationen zu regionalen Cloud Storage-Endpunkten für ITAR finden Sie unter Regionale Cloud Storage-Endpunkte. Die folgenden Vorgänge werden von regionalen Endpunkten nicht unterstützt. Bei diesen Vorgängen werden jedoch keine Kundendaten im Sinne der Nutzungsbedingungen für den Datenstandort übertragen. Daher können Sie globale Endpunkte für diese Vorgänge nach Bedarf verwenden, ohne gegen die ITAR-Compliance zu verstoßen: HMAC-Schlüsselvorgänge IAM-Dienstkontovorgänge Pub/Sub-Benachrichtigungen Benachrichtigungen über Objektänderungen
Kopieren und umschreiben für Objekte	Kopier- und Umschreibvorgänge für Objekte werden von regionalen Endpunkten unterstützt, wenn sich sowohl der Quell- als auch der Ziel-Bucket in der im Endpunkt angegebenen Region befinden. Sie können jedoch keine regionalen Endpunkte verwenden, um ein Objekt von einem Bucket in einen anderen zu kopieren oder umzuschreiben, wenn sich die Buckets an verschiedenen Standorten befinden. Es ist möglich, globale Endpunkte zu verwenden, um Daten zwischen Standorten zu kopieren oder neu zu schreiben. Wir raten jedoch davon ab, da dies möglicherweise gegen die ITAR-Compliance verstößt.

Virtual Private Cloud (VPC)

Betroffene VPC-Funktionen

Funktion	Beschreibung
Google Cloud console	VPC-Netzwerkfunktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.

Cloud VPN

Betroffene Cloud VPN-Funktionen

Funktion	Beschreibung
Google Cloud console	Cloud VPN-Funktionen sind in der Google Cloud Console nicht verfügbar. Verwenden Sie stattdessen die API oder die Google Cloud CLI.
Verschlüsselung	Sie dürfen nur FIPS 140‑2-konforme Chiffren verwenden, wenn Sie Zertifikate erstellen und die Sicherheit Ihrer IP-Adresse konfigurieren. Weitere Informationen zu unterstützten Chiffren in Cloud VPN finden Sie auf der Seite Unterstützte IKE-Chiffren. Hinweise zur Auswahl einer Chiffre, die den FIPS 140-2-Standards entspricht, finden Sie auf der Seite Validiert gemäß FIPS 140-2. Sie können eine vorhandene Chiffre in Google Cloudnicht ändern. Achten Sie darauf, dass Sie die Chiffre auf Ihrer Drittanbieter-Appliance konfigurieren, die mit Cloud VPN verwendet wird.
VPN-Endpunkte	Sie dürfen nur Cloud VPN-Endpunkte verwenden, die sich in einer Region befinden, die in den Anwendungsbereich fällt. Achten Sie darauf, dass Ihr VPN-Gateway nur für die Verwendung in einer Region konfiguriert ist, die in den Anwendungsbereich fällt.

Nächste Schritte

• Informationen zum Erstellen eines Assured Workloads-Ordners
• Assured Workloads-Preise